我一直在使用类似以下的命令来查询组成员资格:
ldapsearch -H ldap://999.999.999.99\
-LLL -D \
"CN=BindCN,OU=Group,OU=Functional,OU=Users,DC=domain,DC=com" \
-x -w password \
-b "OU=GroupName,OU=Shares,DC=domain,DC=com" \
"cn=groupCN" \
-s sub member
这将按DN列出该组的所有成员:
member;range=0-1499: CN=Last\, First (F),OU=Employees,OU=Users
,DC=domain,DC=com
member;range=0-1499: CN=Last\, First (F),OU=Employees,OU=Users
,DC=domain,DC=com
member;range=0-1499: CN=Last\, First (F),OU=Employees,OU=Users
,DC=domain,DC=com
...
哪个好,但是说我有一个sAMAccountName的列表是5000行,我想看看是否有上述组(有5000个成员)。是否有任何方法可以查询组成员通过sAMAccountName?
答案 0 :(得分:1)
是的,LDAP中的DN始终是唯一的。 RDN(CN)不可能在同一容器中相同。
DN是完全可分辨名称(即CN = somecn,OU =员工,OU =用户,DC =域,DC = com)
您需要查询将返回DN的samAccountName,然后从DN中解析组成员。
-Jim